收藏
下载资源下载资源 加入VIP,免费下载

VPN配置实践专题.docx

上传人:b****3 文档编号:2894693 上传时间:2022-11-16 格式:DOCX 页数:29 大小:33.70KB
下载 相关 举报
VPN配置实践专题.docx_第1页
第1页 / 共29页
VPN配置实践专题.docx_第2页
第2页 / 共29页
VPN配置实践专题.docx_第3页
第3页 / 共29页
VPN配置实践专题.docx_第4页
第4页 / 共29页
VPN配置实践专题.docx_第5页
第5页 / 共29页
点击查看更多>>
下载资源
资源描述

VPN配置实践专题.docx

《VPN配置实践专题.docx》由会员分享,可在线阅读,更多相关《VPN配置实践专题.docx(29页珍藏版)》请在冰豆网上搜索。

VPN配置实践专题.docx

VPN配置实践专题

VPN专题

IPSecVPN专题一:

Site-to-StieVPN

环境:

R1/R2/R3:

运行IGP:

RIP

需求:

1:

PC1到PC2的流量通过IPSec加密传输:

2:

如果在R2:

denyipanyany:

那么R2在这之上应该放行哪些流量,才不会影响IPSecVPN的建立:

3:

如果在R1(加密点)上Denyipanyany:

此时R1需要放行哪些流量:

IPSecVPN才能正常建立:

步骤:

1:

R1/R2/R3:

配置路由:

确保链路的可达性:

2:

配置IPSecVPN的Parse1:

==>R1:

R1(config)#access-list101permitiphost192.168.1.10host192.168.2.10  :

定义感兴趣流量

R1(config)#cryptoisakmppolicy10                                      :

定义ISAKMP的策略:

指定认证/加密类型

R1(config-isakmp)#authenticationpre-share

R1(config-isakmp)#encryptiondes

R1(config-isakmp)#group2

R1(config-isakmp)#hashmd5

R1(config-isakmp)#lifetime1000

R1(config-isakmp)#exit

R1(config)#cryptoisakmpkey6ciscoadd2.2.2.3                            :

指定Pre-shared-key:

==>R3:

R3(config)#access-list101permitiphost192.168.2.10host192.168.1.10

R3(config)#cryptoisakmppolicy10

R3(config-isakmp)#authenpre

R3(config-isakmp)#encrydes

R3(config-isakmp)#group2

R3(config-isakmp)#hashmd5

R3(config-isakmp)#lifetime1000

R3(config-isakmp)#exit

R3(config)#cryptoisakmpkey6ciscoadd1.1.1.1

3:

配置IPSecVPN的Parse2:

R1(config)#cryptoipsectransform-setTSesp-desesp-md5-hmac                :

定义Transform-set:

指定IPSec的封装类型和传输模式

R1(cfg-crypto-trans)#modetunnel

R1(config)#cryptomapMYMAP10ipsec-isakmp                                :

定义加密映射:

指定IPSecVPN的各种参数

%NOTE:

Thisnewcryptomapwillremaindisableduntilapeerandavalidaccesslisthavebeenconfigured.  :

提示:

指明需要感兴趣流量

R1(config-crypto-map)#setpeer2.2.2.3

R1(config-crypto-map)#matchadd101  

R1(config-crypto-map)#settransform-setTS

R1(config-crypto-map)#exit

R1(config)#intf0/0

R1(config-if)#cryptomapMYMAP                                                :

接口下调用crypto-map

R1(config-if)#end

R1#

*Mar1116:

34:

12.939:

%CRYPTO-6-ISAKMP_ON_OFF:

ISAKMPisON                :

提示接口上已经启用ISAKMP:

R3(config)#cryptoipsectransform-setTSesp-desesp-md5-hmac

R3(cfg-crypto-trans)#modetunnel

R3(config)#cryptomapMYMAP10ipsec-isakmp

R3(config-crypto-map)#setpeer1.1.1.1

R3(config-crypto-map)#settransform-setTS

R3(config-crypto-map)#matchadd101

R3(config-crypto-map)#exit

R3(config)#intf1/0

R3(config-if)#cryptomapMYMAP

R3(config-if)#END

4:

PC1PINGPC2发包测试:

IPSecVPN必须要有感兴趣流量进行触发:

R1#ping192.168.2.10source192.168.1.10repeat5    !

!

!

!

!

5:

如果R2上对数据流做了限制:

此时我们应该放行哪些流量:

才不至于对IPSecVPN造成影响:

R2(config)#ipaccess-listextendedIPSEC

R2(config-ext-nacl)#permitudphost2.2.2.3host1.1.1.1eq500  :

放行UDP:

500D的流量:

用于ISAKMP的协商

R2(config-ext-nacl)#permitesphost2.2.2.3host1.1.1.1          :

放行ESP的加密数据:

查看IP的协议字段:

51:

R2(config-ext-nacl)#denyipanyany

==>如果不放行UDP:

500,那么R1/R3的IPSecVPN将协商失败:

*Mar1117:

20:

54.643:

ISAKMP0:

0:

N/A:

0):

beginningMainModeexchange

*Mar1117:

20:

54.647:

ISAKMP0:

0:

N/A:

0):

sendingpacketto2.2.2.3my_port500peer_port500(I)MM_NO_STATE.....

注意:

由于路由器接收不到回包,将停留在Phrase1的第一个Message:

==>如果只放行UDP:

500那么IKE/IPSecSA是可以协商建立的:

R1#showcryptoengineconnectionsactive

    ID      Interface          IP-Address    State    Algorithm                Encrypt  Decrypt

    1      FastEthernet0/0    1.1.1.1      set      HMAC_MD5+DES_56_CB      0      0

  2001    FastEthernet0/0    1.1.1.1      set      DES+MD5                    8      0

  2002    FastEthernet0/0    1.1.1.1      set      DES+MD5            0      0

注意:

此时R1/R3:

的IPSecVPN已经成功协商建立:

通过查看IPSecSA的概要信息:

发现加解密的数据包是不一样的,99%的原因是路由问题(包括ACL造成的链路连通性)

6:

如果在R1(加密点)上Denyipanyany:

此时R1需要放行哪些流量:

IPSecVPN才能正常建立:

由5可知ISAKMP/ESP这两种协议是必须的放的:

那是否还需要放行其他的协议呢?

R1(config)#ipaccess-listextendedIPSec

R1(config-ext-nacl)#10permitesphost2.2.2.3host1.1.1.1

R1(config-ext-nacl)#20permitudphost2.2.2.3host1.1.1.1eqisakmp

R1(config-ext-nacl)#30denyipanyany

经过实验和询问得知:

12.4以前,必须放行解密后的流量:

R1(config)#ipaccess-listextendedIPSec

R1(config-ext-nacl)#permithost192.168.2.10host192.168.1.10

12.4以后,是不需要放行解密后的流量:

链路两端就是通的

IPSecVPN专题二:

Dynamicmap

环境:

1:

R1为固定公网IP地址

2:

R3为拨号上网:

获得的动态的公网IP

需求:

R1和R3之间如何建立IPSecVPN:

涉及知识点:

1

ynamicMap(条件必须有一方是静态的IP地址)

2

eer的指定:

步骤:

1:

R3上的IPSec配置:

==>R3上Phase1配置:

R3(config)#cryptoisakmppolicy10

R3(config-isakmp)#authenticationpre-shared

R3(config-isakmp)#encrydes

R3(config-isakmp)#hashmd5

R3(config-isakmp)#group2

R3(config-isakmp)#lifetime3600

R3(config-isakmp)#exit

R3(config)#cryptoisakmpkeyciscoadd1.1.1.1

==>R3上Phase2配置:

R3(config)#cryptoipsectransform-setTSesp-desesp-md5-hmac

R3(cfg-crypto-trans)#modetunnel

R3(cfg-crypto-trans)#exit

R3(config)#cryptomapMYMAP10ipsec-isakmp

R3(config-crypto-map)#setpeer1.1.1.1

R3(config-crypto-map)#settransform-setTS

R3(config-crypto-map)#matchaddress110

R3(config-crypto-map)#exit

R3(config)#access-list110p

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 人文社科 > 军事政治

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1